Jauna WhatsApp ievainojamība varētu apdraudēt jūsu 2FA kodus iOS un Android ierīcēs

Jauna WhatsApp ievainojamība varētu apdraudēt jūsu 2FA kodus iOS un Android ierīcēs

Programmatūra / Jauna WhatsApp ievainojamība varētu apdraudēt jūsu 2FA kodus iOS un Android ierīcēs 1 minūte lasīta WhatsApp ievainojamības 2FA kodi

WhatsApp

WhatsApp saviem miljardiem lietotāju 2017. gadā uzsāka divu faktoru verifikācijas pakalpojumu. Ar šo autentifikācijas metodi uzņēmuma mērķis bija ziņojumapmaiņas lietojumprogrammai pievienot papildu drošības līmeni.



Citiem vārdiem sakot, ikreiz, kad jums būs jāiestata WhatsApp jaunā tālrunī, verifikācijas nolūkos jūs saņemsit vienreizēju paroli. Tātad OTP, kas nosūtīts uz jūsu reģistrēto numuru, nodrošina, ka citi nekādā veidā nevar piekļūt jūsu WhatsApp kontam.



Par WhatsApp vienmēr ir kritizēts kļūdas un ievainojamība ziņojumapmaiņas pakalpojumā. Saskaņā ar WABetaInfo ziņojumu kāds atrada jaunu ievainojamību WhatsApp Android un iOS versijās. Lietotājs atklāja, ka divu faktoru autentifikācijas piekļuves kods tika glabāts vienkārša teksta failā.

Tā kā fails tiek saglabāts tikai smilšu kastē, tas nav pieejams citām trešo pušu lietojumprogrammām. Turklāt fails netiek glabāts arī parastajās WhatsApp dublējumkopijās.



Lūk, kā WhatsApp saglabā divu faktoru autentifikācijas piekļuves kodu vienkārša teksta failā. Var redzēt, ka faili tiek glabāti privātā konteinerā.

https://twitter.com/pancakeufo/status/1241657160561504256

Neaizsargātība pastāv arī Android ierīcēs

No otras puses, piekļuves koda teksta fails ir redzams arī sakņotajās Android ierīcēs. Tātad tas nozīmē, ka citas lietotnes ar root tiesībām var piekļūt failam, lai to lasītu.

Android lietotājs ievietoja ekrānuzņēmumu, kurā paskaidrots, ka ikviens var piekļūt šifrētajam teksta failam.

Ir vērts pieminēt, ka trešo pušu lietojumprogrammas vai iebrucēji nevar vienkārši izmantot 2FA kodu, lai piekļūtu jūsu WhatsApp kontam. Nepieciešams arī sešu ciparu PIN kods, kas tiek nosūtīts uz jūsu reģistrēto tālruņa numuru. Tātad lietotājiem nevajadzētu uztraukties par uzlaušanu.

Saskaņā ar WABetaInfo teikto, ņemot vērā faktu, ka dažām iOS versijām var būt noteiktas ievainojamības, uzņēmumam nevajadzētu atstāt failu nešifrētu. Tādējādi WhatsApp vajadzētu aizlāpīt izmantojumu, lai lietotne piekļuves kodu glabātu šifrētā tekstā.

Tagi WhatsApp